Backdoor/subseven Trojan

Ik ken die Norton firewall niet maar ik geloof echt wel dat ie goed is.
Het is gewoon zo dat sommige mensen het leuk vinden om te zoeken naar pc's waar een trojan opstaat. Een firewall houdt dit soort pogingen tegen.
Je systeem formatteren helpt niet want er is dus NIETS mis met je pc... alleen iemand rammelt gewoon aan je digitale voordeur en kijkt OF je toevallig subseven hebt geinstalleerd.. zo niet dan gaat ie naar je virtuele buurman. Gewoon niet zoveel van aantrekken... Misschien dat je firewall op een te hoge stand staat (zeg maar een soort 'red alert') en dat ie zeg maar gewoon paranoia is.. misschien kun je hem iets lager zetten.

Als je echter dagen lang last hebt van 1 bepaalde IP moet je die gewoon aangeven. Het is sowieso iemand die bij dezelfde provider zit (jullie IP nummers beginnen met dezelfde cijfers). Als dat zo is moet je een mailtje maken naar zijn provider en een log meesturen van zijn inbraakpogingen..

Succes

ja ik heb ook al een topic gepost over wat al die handel nou precies inhoudt. Misschien heeft iemand een goede site waar je wat meer info kan vinden?

In ieder geval is het iemand bij dezelfde provider die jou probeert te "hacken" of portscannen.

Ik heb zelf BlackICE en als je daar aangevallen wordt kun je dus meteen naar een soort database en kun je opzoeken wat er nu precies gebeurt...

Die database is <a href="http://advice.networkice.com/Advice/default.htm">hier</a> te vinden. Kun je iig al iets opzoeken...

Je moet je er gewoon niets van antrekken laat die kerel lekker zijn traces doen zolang jij goed beveilg bent kan hij er toch niet op...
Je kan inderdaad proberen je niveau iets lager te zetten zodat hij zulke traces overslaat.

Ik heb dat ook wel eens. Moet je gewoon in een whois database opzoeken van welke provider die komt (je weet z'n IP nummer namelijk). Stuur dan een emailtje naar abuse@provider of iets dergelijks met IP nummer en tijd. Kunnen hun nagaan wie het was en hem bijv. zijn kabelmodem afpakken

remote host, service
remote host = dat ip
service = de port/service waar hij naar probeert te connecten.
Firewall houdt het tegen, wilt niet zeggen dat je systeem infected is.

‹€› (dns) - 212.187.116.218 (c187116218.telekabel.chello.nl)
het is gewoon een mede chello gebruiker die zijn c ranges afgaat naar slachtoffers.. lamer.
Dat hij dat doet mag al niet, dat hij je probeert te hacken, ook niet.

inetnum: 212.187.112.0 - 212.187.119.255
netname: TK-APL-2
descr: Chello Apeldoorn
descr: cablemodems block 2
country: NL
^---- info is van RIPE, daar kan je zien wie/waar het ip geregged is, na ja, apeldoorn dus.

waar je moet zijn? goed aanpakken,
person: Wiljan Dankers
address: Brandevoortse Dreef 2
address: Helmond
address: The Netherlands
phone: +31 318 695555
fax-no: +31 318 695515
e-mail: abuse@chello.nl
nic-hdl: WD294-RIPE
remarks: complaints about spam and other net-abuse: abuse@chello.nl
notify: W.Dankers@chello.nl
mnt-by: EU-IBM-NIC-MNT2
changed: RvdOever@chello.nl 20000808
source: RIPE
Iemand die belangrijk is CC'en

Suc6

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>Op 06 oktober 2000 13:25 schreef MolMan het volgende:Ik heb mijn systeem geformateerd en alleen NIS geinstaleerd, en toch bleef ik die meldingen krijgen.[/quote]ROFLMAO

sorry, daar mag ik eigenlijk niet om lachen.

Maak gewoon een nieuwe regel aan waardoor je Sub7 probes van die L*L altijd negeert.

DAMN hoe kom jij aan die gegevens welke proggies gebuik je

als je het niet zo wil zeggen mag het ook via me mail

No-|v|eRcY@Go.To

die gegevens kan je gewoon opzoeken in bijv. www.ripe.net of het was of zoiets. Dan staat er ergens 'whois db' Klik daarop en vul het IP adres in. Dan weet je wie het IP adres geregistreerd heb (dus welke provider).

Niks illegaals aan.

Je hoeft je nergens zorgen over te maken als je geen trojans accepteerd en een goede geupdate virusscanner gebruikt. Ik zelf gebruik naast een McAffee ook the cleaner, met een hele grote database aan trojans.

Jullie gaan er nu wel van uit dat het ip dat je pc 'aanvalt' degene is met de kwade bedoelingen, maar dat hoeft niet.
Sub7 heeft een remotescanfunctie, waarmee je dus een geinfecteerde pc laat scannen.
De eigenaar van die geinfecteerde pc weet uiteraard van niets, en zo beschuldig je dus een onschuldig persoon.

Let even op dus...

<BLOCKQUOTE><font size=1 face=Verdana, Arial, Helvetica>quote:</font><HR>person: Wiljan Dankers
address: Brandevoortse Dreef 2
address: Helmond
address: The Netherlands
phone: +31 318 695555
fax-no: +31 318 695515
e-mail: abuse@chello.nl
nic-hdl: WD294-RIPE
remarks: complaints about spam and other net-abuse: abuse@chello.nl
notify: W.Dankers@chello.nl
mnt-by: EU-IBM-NIC-MNT2
changed: RvdOever@chello.nl 20000808
source: RIPE
Iemand die belangrijk is CC'en [/quote]Deze gegevens krijg je altijd als je een ip in www.ripe.net invult, vaag, maar waar...

Dit is een lijst met alle bekende poorten van trojans, kan je ze invullen in je personal firewall van norton ( @tguard 2.22)






NetBus 1.x (avoiding Netbuster)
12346
NetBus Pro
20034
SubSeven
1243
NetSphere
30100
Deep Throat
6670
Master Paradise
31
Silencer
1001
Millenium
20000
Devil 1.03
65000
NetMonitor
7306
Streaming Audio Trojan
1170
Socket23
5000
Socket25
30303
Gatecrasher, netControl
6969
Telecommando
61466
Gjamer
12076
IcqTrojen
4950
Priotrity
16969
Vodoo
1245
Wincrash
5742
Wincrash2
2583
Netspy
1033
ShockRave
1981
Stealth Spy
555
Pass Ripper
2023
Attack FTP
666
GirlFriend
21554
Fore
50766
DeltaSource (DarkStar)
6883
Tiny Telnet Server
34324
Kuang
30999
SennaSpyTrojans
11000
Backdoor
1999
WebEx
1001
UglyFtp
23456
TrojanCow
2001
TheSpy
40412
Striker
2565
Silencer
1001
RoboHack
5569
RemoteWindowsShutdown
53001
Prosiak 0.47
22222
ProgenicTrojan
11223
PortalOfDoom
9872
InIkiller
9989
IcqTrojan
4950
BladeRunner
5400
The tHing
6400
PsyberStreamingServer Nikhil G.
1509
Phineas Nikhil G.
2801
Indoctrination
6939
HackersParadise
456
Doly Trojan 1.1+1.2
1011
FTP99CMP
1492
Shiva Burka
1600
BigGluck, TN
34324
HackŽ99 KeyLogger
12223
iCkiller
7789
iNi-Killer
9989
Portal of Doom
9875
Master Paradise
40423
BO jammerkillahV
121
AOLTrojan1.1
30029
Hack'a'tack
31787
The Invasor Nikhil G.
2140
SpySender Nikhil G.
1807
The Unexplained
29891
Bla
20331
FileNail Danny
4567
Coma Danny
10607
Shitheep Danny
69123
Bla1.1
1042
HVL Rat5
2283
BackConstruction1.2
5400
Doly Trojan 1.30 (Subm.Cronco)
1010
Doly Trojan 1.5 (Subm.Cronco)
1015
Trojan Spirit 2001 a
33911
Vampire 1.0
6669
Maverick's Matrix
1269
Total Eclypse (FTP)
3791
OOTLT
5011
Eclipse 2000
12701
NetMetro1.0
5031
IllusionMailer
5521
NetAdmin
555
Logged!
20203
Shitheep
6912
Schoolbus 1.6+2.0
54321
Chupacabra
20203
XTCP 2.0 + 2.01
5550
Transcout 1.1 + 1.2
1999
SoftWar
1207
Ambush
106666
DerSpaeher 3
2001
ThePrayer 1.x
9999
HostControl 1.0
6669
YAT
37651
NetRaider
57341
TCPShell.c
6666
PC Crasher
5637
Insane Network 4
2000
Mini Command 1.2
1050
Mosucker
16484
Incommand 1.1+1.2+1.3+1.4
9400
FakeFTP
1966
Rat1.2
2989
Intruse Pack 1.27b
30947
Freak 88
7001
Asylium Family
23432
Prosiak
4444


Just a quick not to those blantly ripping this list. These port
numbers I don't dream them, I have to check them one by one,
and the least I espect is that you give me some sort of credit.
Thanks

-inth13 tlsecurity.org-

Ik zit zo even te lezen en het topic is al behoorlijk oud maar heb sinds een paar dagen continue atacks op volgende poort: 6969
Firewall geeft aan dat het om de volgende trojans zou kunnen gaan omdat deze hier gebruik van maken: GateCrasher trojan / Priority Trojan / IRC 3 Trojan / acmsoda

Nu boeit het me niet zoveel maar m'n firewall loopt ervan over gewoon!!!

Het tracen ervan heeft ook geen zin want het is elke keer iemand anders!
Heerst er iets op het internet ofwat of is er iets met mijn systeem fout?

Nu boeit het me niet zoveel maar m'n firewall loopt ervan over gewoon!!!

Hoeveel requests krijg je dan? Als het een heel groot aantal is lijkt het mij niet meer om een simpele scan te gaan namelijk.

schumi2004 schreef op 20 februari 2004 @ 13:22:
Ik zit zo even te lezen en het topic is al behoorlijk oud maar heb sinds een paar dagen continue atacks op volgende poort: 6969
Firewall geeft aan dat het om de volgende trojans zou kunnen gaan omdat deze hier gebruik van maken: GateCrasher trojan / Priority Trojan / IRC 3 Trojan / acmsoda

Nu boeit het me niet zoveel maar m'n firewall loopt ervan over gewoon!!!

Het tracen ervan heeft ook geen zin want het is elke keer iemand anders!
Heerst er iets op het internet ofwat of is er iets met mijn systeem fout?

Een verkeerd ingestelde scanner van een script kiddy kan dit veroorzaken. Zijn deze attacks continue of dan eerst 30 minuten en dan stopt het. daarnaast kan het natuurlijk ook wat willekeurigs wezen. is het een IP range van bijvoorbeeld een dial up provider of zijn het echt andere providers.